微软警告：俄黑客发起大范围凭证窃取攻击

近日，微软透露，它检测到俄罗斯国家附属黑客组织 Midnight Blizzard 发起的凭证窃取攻击激增。

微软威胁情报团队表示，这些入侵利用住宅代理服务来混淆攻击的源 IP 地址，目标是政府、IT 服务提供商、非政府组织、国防和关键制造部门。

Midnight Blizzard，以前称为Nobelium，也被称为 APT29、Cozy Bear、Iron Hemlock 和 The Dukes。

该组织因 2020 年 12 月的 SolarWinds 供应链泄露事件而引起全世界关注，该组织继续依赖看不见的工具对外交部和外交实体进行有针对性的攻击。

这表明他们在暴露身份的情况下仍决心保持其行动的正常运行，这使他们成为间谍领域特别强大的参与者。

微软在一系列推文中表示，“这些凭证攻击使用了各种密码喷射、暴力破解和令牌盗窃技术”，并补充到，“攻击者还利用可能获得的被盗会话进行会话重放攻击，以获得对云资源的初始访问权限，通过非法销售。”

微软进一步指出 APT29 使用住宅代理服务来引入恶意流量，试图混淆使用受损凭证建立的连接。

Windows 制造商表示：“威胁行为者可能会在很短的时间内使用这些 IP 地址，这可能会给范围界定和修复带来挑战。”

与此同时，Recorded Future 详细介绍了APT28（又名 BlueDelta、Forest Blizzard、FROZENLAKE、Iron Twilight 和 Fancy Bear）自 2021 年 11 月以来针对乌克兰政府和军事实体精心策划的新鱼叉式网络钓鱼活动。

这些攻击利用带有附件的电子邮件，利用开源 Roundcube Webmail 软件中的多个漏洞（CVE-2020-12641、CVE-2020-35730和CVE-2021-44026）来进行侦察和数据收集。

成功的入侵使俄罗斯军事情报黑客能够部署流氓 JavaScript 恶意软件，将目标个人的传入电子邮件重定向到攻击者控制下的电子邮件地址，并窃取他们的联系人列表。

这家网络安全公司表示：“该活动表现出了高度的准备能力，迅速将新闻内容武器化，以利诱骗接收者。鱼叉式网络钓鱼电子邮件包含与乌克兰相关的新闻主题，其主题行和内容反映了合法媒体来源。”

更重要的是，据称该活动与另一组利用 Microsoft Outlook 中当时的零日漏洞 ( CVE-2023-23397 ) 的攻击相吻合，微软披露该漏洞用于针对欧洲组织的“有限针对性攻击”。

该权限升级漏洞已作为 2023 年 3 月推出的周二补丁更新的一部分得到解决。

调查结果表明，俄罗斯威胁行为者持续努力收集有关乌克兰和整个欧洲各个实体的宝贵情报，特别是在2022 年 2 月对该国进行全面入侵之后。

针对乌克兰目标的网络战行动的显着特点是广泛部署旨在删除和破坏数据的擦除恶意软件，使其成为大规模混合冲突的最早实例之一。

Recorded Future 总结道：“BlueDelta 几乎肯定会继续优先瞄准乌克兰政府和私营部门组织，以支持更广泛的俄罗斯军事行动。”